LDAP client

À qui cela s'adresse

Cette page est pour n'importe qui voulant rendre son Ubuntu capable de s'authentifier auprès d'un serveur OpenLDAP.

L'utilisateur qui désire s'authentifier avec Sun Java Enterprise System Directory Server doit regarder la page sur la documentation en anglais.

Introduction

Cette page explique la configuration d'une machine sous Ubuntu 14.04 / Linux Mint 17 afin d'authentifier les utilisateurs enregistrés dans un LDAP

Installation des paquets client

Sur la machine cliente, installez les paquets présents dans les dépôts officiels.

sudo apt-get update
sudo apt-get install libpam-ldap nscd

l'installation de nscd necessite de répondre à quelques question :

ldap server Uniform Resource Identifier :

indiquer l'adresse de votre serveur :

ldap://xxx.xxx.xxx.xxx

ldap://monldap.a.moi.com

pour indiquer un nom de domaine. Vous pouvez également indiquer plusieurs adresses comme un serveur principal et un serveur de secours, ou encore, l'IP privée puis l'IP publique de votre serveur (si vous avec par exemple à utiliser le même compte dans vos locaux ou à l'exterieur)

ldap://ipprivée ldap://ippublique

Remplacez bien la chaine

ldapi:///

proposée par défaut par

ldap://

(pas de i et seulement 2 slash)

Distinguish name of the search base:

vous devez renseigner le dn de votre base exemple

dc=test,dc=com

LDAP Version

choisissez 3, la version 2 tends à devenir obsolète et est moins sécurisée

Make local root Database admin :

YES

Does the LDAP database require login?

LDAP account for root:

Saisissez le compte admin de votre base Exemple :

"cn=admin,dc=test,dc=com"

puis le mot de passe de ce compte admin

En cas d'erreur vous pourrez toujours relancer la configuration avec la commande

sudo dpkg-reconfigure ldap-auth-config

Configuration des logiciels

Il faut maintenant faire quelques modifications dans les fichiers de conf concernant l'authentification :

Tout d'abord, éditez le fichier /etc/nsswitch.conf

sudo nano /etc/nsswitch.conf

Modifiez les 3 lignes passwd, group et shadow en ajoutant ldap à la fin de la ligne :

passwd : compat ldap
group : compat ldap
shadow : compat ldap

Ajoutez bien la mention "ldap" en fin de ligne afin d'accélerer les authentifications qui ne requiert pas LDAP, en effet, les différentes possibilités d'authentification sont traitées dans l'ordre que vous indiquez dans ce fichier.

Attaquons nous maintenant à la configuration de PAM (Pluggable Authentication Module) Editez le fichier /etc/pam.d/common-session

sudo nano /etc/pam.d/common-session

Allez à la fin du ficher et ajoutez cette ligne :

session required    pam_mkhomedir.so skel=/etc/skel umask=0022

Cela permet de créer le squelette d'un répertoire utilisateur lors de la première connexion sur cette machine.

Il faut maintenant redémarrer le service nscd pour prendre en compte les modifications :

sudo /etc/init.d/nscd restart

Vous pouvez vérifier que votre machine interroge bien la base LDAP en tapant la commande

getent passwd

qui listera l'ensemble des comptes locaux mais aussi LDAP!

Permissions

Il est judicieux d'avoir un groupe nommé admin dans votre base LDAP. En effet si votre utilisateur LDAP appartient à ce groupe, il devient possible de lui attribuer les droits sudo sur la machine grâce au fichier /etc/sudoers.

Pour éditer ce fichier, préférez la commande

sudo visudo

Cherchez la ligne :

%admin ALL=(ALL) ALL

Si elle est commentée (commence par un #), ce groupe sera sans effet sur votre système. Si elle n'est pas commentée, un user LDAP appartenant au groupe admin pour prendre les droits root !

Se connecter en tant qu'utilisateur LDAP

Votre machine est maintenant capable d'accepter une authentification LDAP sans que l'utilisateur n'existe préalablement sur la machine (en local). Pour le tester, vous pouvez tenter d'ouvrir une session SSH sur cette machine. Par exemple pour l'utilisateur monty :

ssh monty@127.0.0.1

Si l'utilisateur ne s'est jamais connecté depuis cette machine, son dossier utilisateur sera alors créé. Vous pouvez le vérifier avec la commande

pwd

Si cela ne fonctionne pas, reprenez chacune des étapes pas à pas.

Note pour Gutsy

Il y a un nouvel outil dans Gutsy pour modifier les outils de pam et de nsswitch en même temps :

 sudo auth-client-config -a -p lac_ldap

L’installation et la configuration de LDAP

La configuration de nsswitch.conf

Malheureusement nous ne pouvons tester la configuration des paquets plus haut sans la modification de /etc/nsswitch.conf :

sudo vi /etc/nsswitch.conf

et remplacer compat par ldap files ou par cette commande dans vi :

:g/compat/s//files ldap/g

Votre fichier /etc/nsswitch.conf doit alors contenir les lignes suivantes :

passwd:         files ldap
group:          files ldap
shadow:         files ldap

Pensez à redémarrer le démon nscd, qui garde en cache les résultats :

/etc/init.d/nscd restart ou

service nscd restart

Tester la configuration de nsswitch.conf avec getent

Maintenant vous pouvez tester la configuration avec

les commandes plus bas (remplacer <someldapuser> par un nom d'utilisateur et <someldapgroup> par un nom de groupe présent dans votre serveur LDAP) :

getent passwd <someldapuser>
getent group <someldapgroup>

Si vous avez une réponse dans les deux cas nsswitch.conf est correctement configuré la seule chose qui reste à faire est de configurer PAM.

Il est aussi possible de taper directement : getent passwd vous devez alors voir tous les utilisateurs de votre serveur ldap. Si ce n'est pas le cas, éditez et vérifiez le contenu des fichiers /etc/ldap/ldap.conf et /etc/libnss-ldap.conf. Pour modifier ce dernier utilsez la commande :

 dpkg-reconfigure libnss-ldap

Sans réponses, quels sont les points à vérifier pour trouver l'origine du problème ?

Sans réponses voir si le nom de la base de recherche (ici Par exemple dc=example,dc=com) est bon; Vérifier si l'adresse IP du serveur LDAP est le bon (la majeur parti des problèmes proviennent d'ici) ou alors oublie du restart du deamon nscd

Configuration de PAM

La configuration de PAM est divisée en 4 fichiers : common-account, common-auth, common-password and common-session

/etc/pam.d/common-account

sudo vi /etc/pam.d/common-account

Changez la configuration par ces lignes :

account	sufficient	pam_ldap.so
account	required	pam_unix.so

/etc/pam.d/common-auth

sudo vi /etc/pam.d/common-auth

Changez la configuration par ces lignes :

auth	sufficient	pam_ldap.so
auth	required	pam_unix.so nullok_secure use_first_pass

/etc/pam.d/common-password

Configuration standard

sudo vi /etc/pam.d/common-password

Changez la configuration par ces lignes :

password	sufficient	pam_ldap.so
password	required	pam_unix.so nullok obscure min=4 max=8 md5

Utilisez des mots de passe plus complexes

Pour l'utilisation de mots de passe plus difficiles à casser, il vous suffit d'installer le paquet libpam-cracklib :

sudo apt-get install libpam-cracklib

Vous avez besoin de modifier la configuration du fichier /etc/pam.d/common-password :

sudo vi /etc/pam.d/common-password

Changez la configuration par ces lignes :

password        required        pam_cracklib.so retry=3 minlen=6 difok=3
password        sufficient      pam_ldap.so use_authtok nullok md5
password        required        pam_unix.so use_authtok use_first_pass

/etc/pam.d/common-session

standard configuration

sudo vi /etc/pam.d/common-session

Changez la configuration par ces lignes :

session	sufficient	pam_ldap.so
session	required	pam_unix.so

Création automatique du répertoire home à la première connexion

Si vous voulez que la création automatique du répertoire home soit faite à la première connexion vous allez devoir éditer common-session encore une fois :

sudo vi /etc/pam.d/common-session

Changez la configuration par ces lignes :

session required        pam_unix.so
session required        pam_mkhomedir.so skel=/etc/skel/
session optional        pam_ldap.so

Notes

Je ne peux promettre que ce document soit sans erreur mais je l'ai testé et il fonctionne.

Alternative

Installation d'un client LDAP sur ubuntu 14.04 / Linux Mint 17

Je me permets d'avancer une autre méthode que j'ai suivi, celle énoncée ici n'ayant pas fonctionné.

Tout d'abord pour installer le client sur une ubuntu/mint 14.04, j'ai suivi ce tuto pour activer l'authentification lorsque le serveur LDAP est accessible

Online Mode (Serveur LDAP Accessible)

Pour configurer le client ldap sur ma distrib ubuntu, j'ai suivi ce tuto qui a fonctionné comme un charme :

https://www.digitalocean.com/community/tutorials/how-to-authenticate-client-computers-using-ldap-on-an-ubuntu-12-04-vps

et pour la conf de mes laptop, j'ai ajouté ceci

Offline mode (Serveur LDAP inaccessible - Laptop itinérants)

sudo apt-get install nss-updatedb libnss-db libpam-ccreds nslcd
sudo nss_updatedb ldap

Editer le fichier /etc/nsswitch.conf tel que:

passwd:         files ldap [NOTFOUND=return] db
group:          files ldap [NOTFOUND=return] db

ensuite éditer etc/pam.d/common-account pour remplacer la ligne

account	[success=1 default=ignore]	pam_ldap.so

par

account    [success=1 authinfo_unavail=1 default=ignore]    pam_ldap.so

il suffira maintenant d'un :

sudo nss_updatedb ldap

pour mettre à jour la copie locale des users LDAP

a noter que pour qu'un utilisateur puisse se connecter hors ligne, il aura du préalablement se logguer sur cette machine alors qu'elle pouvait contacter le serveur LDAP pour un premier check du mot de passe

Crédits

Source : traduction de https://wiki.ubuntu.com/LDAPClientAuthentication

La plupart des informations viennent de cette page :

http://mcwhirter.com.au/craige/blog/2006/Making-a-Debian-or-Ubuntu-Machine-an-LDAP-Authentication-Client

Des informations additionnelles peuvent être trouvées ici :
- http://www.gentoo.org/doc/en/ldap-howto.xml
- http://www.gesnel.fr/ubuntu/2007/05/30/integration-de-clients-ubuntu-dans-un-reseau-avec-ldap/

Contributeur principal : phetu (traduction).